의견서 개인정보보호법 2차 개정 의제에 대한 시민사회 의견서

지난 12월 23일 개인정보보호위원회는 개인정보보호법 2차 개정안에 대한 검토 및 논의를 진행했습니다.

 

지난해 개인정보보호법이 신용정보법, 정보통신망법과 더불어 개정되었지만, 정보주체의 동의 없이 개인정보를 활용할 수 있도록 하는 내용에 치우쳐 있을 뿐 빅데이터 시대에 개인정보를 보호할 수 있는 장치는 거의 없다고 할 수 있습니다. 또한 개인정보 보호법제가 분산돼 있어 서로 다른 개념을 사용하고 중복/유사 규정이 여전히 존재하며 모호한 규정도 있는 등 수범자의 혼란을 초래하는 문제점 역시 그대로 남았습니다.

 

개정 당시 이러한 점들이 충분히 의논되지 않았기 때문에 법 개정 1년도 채 지나지 않은 시점에 2차 개정에 대한 요구가 분출하고 있는 상황입니다. 하지만 또다시 권리 주체의 보호 강화 등 시민사회의 요구는 묵살된 채로 정부 주도의 재개정 논의가 진행되고 있습니다. 개인정보보호위원회는 2차 개정안의 의제를 정하기 전에 시민사회를 포함한 이해관계자의 의견을 수렴했어야 합니다. 이대로 2차 재개정이 추진된다면 또다시 불완전한 법으로서 불만과 개정요구가 쇄도할 것입니다. 이에 시민사회는 개인정보보호법 2차 개정 방향에 대해 아래와 같이 의견을 제출하며, 이러한 의제들을 2차 개정에 포함할 것을 촉구합니다.

2021년 1월 6일

건강권실현을 위한 보건의료단체연합, 경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

 

 

1. 법제간 혼란을 야기하는 ‘과학적 연구’, ‘연구’ , ‘가명처리’, ‘가명정보’ 등 개념 정의 등 통일 필요

 

여전히 수범자의 혼란을 야기하고 있는 「개인정보보호법」, 「신용정보법」 등 법제간의 중복, 유사 규정 등 통일이 필요합니다.

「개인정보보호법」 제2조 8호에서는 ‘과학적 연구’를 정의한 반면, 「신용정보법」 제32조 1항 9의 2호는 ‘과학적 연구’ 대신 ‘연구’라는 개념을 사용하고 있습니다. 과학적 연구범위가 어디까지냐를 두고도 의견이 분분한데 「신용정보법」의 ‘연구’ 개념은 「개인정보보호법」의 ‘과학적 연구’보다 더욱 폭넓게 해석될 수 있는 등 통일적 법해석에 반하여 혼란이 가중되고 있습니다. 그러므로 기본법의 성격을 가지는 개인정보보호법에 ‘과학적 연구’, ‘연구’ , ‘가명처리’, ‘가명정보’ 등의 불확정 개념을 명확성의 원칙에 따라 구체적으로 명시하여 특정할 것을 요청하며, 가명처리에 있어 정보주체의 동의를 요하는 규정을 신설할 것으로 요청합니다.

 

2. 개인정보 처리자의 책임성 규정 강화 필요

 

인공지능 등 신기술 환경에서 개인정보처리자의 책임성은 강화되어야 할 필요성이 있습니다. 현 개인정보보호법은 GDPR에 비해 기업들이 개인정보 처리에 대한 책임성을 갖도록 하는 제도적 장치가 여전히 부족합니다.

개인정보 처리자의 책임성은 단순히 유출 등 피해가 발생할 경우에 처벌을 하는 개념이 아니라 국민의 개인정보를 상품이 아니라 보호해야 할 대상으로 인식하는 것이 먼저이므로 개인정보 처리 전 과정에서 준수해야 할 의무의 범위를 명확히 규정해야 합니다. 따라서 개인정보처리자가 개인정보보호법을 준수해야할 뿐 아니라, 개인정보 처리과정에서 법이 정한 의무를 준수하였음에 대한 증명책임을 지도록 규정해야 합니다. 때문에 GDPR에서는 기업이 개인정보를 활용할 경우 개인정보영향평가를 통해 개인정보 침해 가능성을 사전에 확인하고, 처리자로서 법을 인식하고 준수하도록 하고 있습니다. 아울러 강력한 독립성을 보장하는 DPO 제도 등도 도입하고 있습니다.

한국의 개보법 역시 개인정보영향평가의 폭넓은 활용 그리고 독립성을 보장하는 개인정보보호책임자(DPO) 도입, 설계 및 기본설정에 의한 개인정보 보호 (Data Protection by Design/by Default) 등 처리자의 책임성을 강화하는 제도 도입이 필요합니다. 그럼으로써 기업이 어떠한 상품이나 서비스를 개발함에 있어 개인정보 보호를 기반으로 하고, 개인정보를 잘 보호하는 것이 해당 기업의 경쟁력에 도움이 된다는 인식을 가질 수 있는 제도적 환경을 조성하는 것이 필요합니다.

 

3. 정보주체의 권리 보장 강화 필요

 

개인정보보호위원회의 2차 개정안에 자동화된 의사결정에 대한 정보주체의 권리 등이 포함된 것은 바람직한 일입니다. 그러나 정보주체의 권리 보장을 위해서는 더 보완되어야 할 부분이 있습니다. 현 개인정보보호법은 프로파일링 및 자동화된 의사결정에 관한 규정은 전혀 없으며, 신용정보법은 신용정보와 관련해서만 부분적으로 자동화평가를 규정하고 있을 뿐입니다. 따라서 프로파일링, 자동화된 의사결정에 대한 정의, 이에 대한 권리보호 방법 등에 대한 규정이 필요합니다.

또한, 현 법안에 마련된 ‘동의 외의 법적 근거’로 개인정보를 수집할 때에도 정보주체에게 처리와 관련된 사항을 고지할 수 있도록 해야 합니다. 또한 정보주체로부터 직접 수집하지 않을 경우에도 정보주체가 자신의 개인정보가 처리되고 있다는 사실을 알 권리가 있습니다. 이경우에도 개인정보 처리에 대한 정보를 정보주체에 고지하고, 해당 고지에 정보주체의 권리 및 권리가 침해되었을 경우의 구제방법을 포함할 필요가 있습니다.

 

4. 수사기관의 개인정보 처리에 대한 예외 인정 조항의 개선 필요

 

현 개인정보보호법은 공공기관이 보유한 개인정보에 대해서는 특별한 요건이나 절차 없이도 수사기관에 목적 외로 제공하도록 하는 등 수사기관과 관련된 개인정보 처리에 대해서 많은 예외 규정을 두고 있으며, 이에 대한 감독 체계 역시 제대로 마련되어 있지 않습니다. 특히 범죄수사 등을 위해 제공하는 개인정보에 건강보험 요양급여내역 등 민감정보가 포함된 것도 문제입니다.

또한 범죄수사 및 형집행과 관련된 개인정보 파일의 경우에는 감독기관등록 및 공개가 면제되어 있고 개인정보 처리방침도 수립 및 공개 의무가 없어 개인정보 보호 감독에서 전면적으로 제외되어 있는 현실입니다. 더불어 정보주체의 열람 및 정정ㆍ삭제권과 처리정지권의 행사, 정보주체의 고지받을 권리 역시 동반하여 제한되어 있어 정보주체의 권리 침해에 대한 인지와 권리구제가 매우 어렵다는 것도 문제입니다.

범죄수사라는 특수성을 고려하더라도 수사의 필요성 여부에 대한 엄격한 요건과 제공 범위의 최소화와 관련된 구체적 범위를 법에 명시하여 기본적인 개인정보 보호규범이 지켜질 수 있도록 예외를 최소화 해야 할 것입니다. 무엇보다 수사기관이 개인정보를 남용하지 않도록 독립적인 감독 메커니즘이 마련될 필요가 있습니다. 또한 이러한 일련의 과정 속에서 정보주체의 권리를 최대한 보장하는 방향의 규정 마련 역시 필요합니다.

 

5. 개인정보보호 감독권의 온전한 일원화를 위한 금융정보에 대한 감독권한 이관 필요

 

방송통신위원회, 행정안전부 등 여러 기관에 흩어져 있는 개인정보보호 기능과 권한을 일원화하겠다는 것이 작년 개인정보3법 개정의 주요 취지 중 하나였습니다. 그러나 금융기관에 대한 개인정보 관련 업무는 합리적 근거없이 여전히 금융위원회에 남겨두어 수범자들에게 혼란을 주고 있습니다. 앞으로 빅데이터시대에는 이종 정보간 융합, 결합, 교차 등 어느 한 분야에 국한되지 않은 형태의 개인정보가 지배적일 터인데, 지금과 같은 이원적이고 분열된 형태의 감독체계로는 정보주체의 권리보호는 물론이고 기업들의 관련 산업활성화 차원에서도 혼란을 줄 가능성이 더 큽니다.

따라서 ‘개인정보보호’ 관련 감독권은 개인정보보호위원회로 일원화하고, 개인정보보호를 제외한 금융 산업에 대한 규율은 금융위원회가 하도록 하는 것이 두 가치 모두를 달성하는데 합리적일 것입니다. 이에 개인정보보호의 감독권의 온전한 일원화를 위해 여러 기관이 소관하고 있는 정보 중 개인정보와 관련 최종감독권은 개인정보보호위원회에게 부여되어야 하며 일례로 개인신용정보보호 업무와 관련한 개인정보 처리 과정에서의 감독권은 개인정보보호위원회에 이관되어야합니다 이에 대한 법개정 및 관련 법률간 정비도 반드시 필요합니다.

 

6. 개인정보보호법 위반에 대해 집단소송제, 징벌적손해배상제 도입 필요

 

개인정보보호법의 가장 큰 특징 중 하나는 이해관계자 중 가장 중요한 한 축인 정보주체가 조직화되어 있지 않고 개별적으로 흩어져 있다는 것입니다. 그동안 개인정보보호법 개정에 목소리를 내고 자신들의 이해를 반영시켜온 것은 주로 기업이었지만 정작 정보의 주체인 국민들은 이와 같은 기업들과 대등한 관계에서 정보주체의 이해를 반영시키는데 역부족입니다. 관련 토론회, 공청회, 법개정방향 논의 과정에 합당한 권리의 크기만큼의 영향력을 행사할 수 없었습니다. 그러다보니 지난 3법 개정 과정에서도 정보주체의 권리를 대폭 후퇴시키는 방향으로 개정되는 사실조차 모르는 국민이 대다수 였습니다([긴급여론조사] 국민 80.3% 가명정보 동의 없이 기업간 제공 반대.2018. 1112).

이처럼 개인정보 유출 등의 손해가 발생한 경우 피해자인 정보주체들이 소송을 제기하는 것이 현실적으로 많은 제약이 있으므로 개인정보유출 등 정보주체의 권리가 침해당했을 경우, 집단소송법과 징벌적손해배상제를 적용하여 권리구제는 물론이고 사전 예방 및 억제책으로 기능할 수 있는 장치를 도입해야 합니다.